企業上云面臨的三大難點及對策建議

陸平

企業上云在縮減成本、提升效率方面有優勢，但是企業仍對上云存在重重顧慮，上云之路困難重重。

企業上云面臨的三大難點

（1）決策者對于上云安全存在顧慮。許多企業決策者的顧慮集中于以下方面：一是關于數據安全的問題，一些決策者擔心數據被云服務提供商“偷窺”或利用。這種擔心不無道理。2018年3月，Facebook被曝非法將大約5000萬用戶信息用于大數據分析，進而精準刻畫這些用戶的心理特征，并向其推送假新聞和定制廣告。接著，谷歌云在博客發文《確保企業云上數據安全》，該文針對目標群體是企業級用戶，旨在消除企業級用戶的安全顧慮。二是關于業務連續性的問題，一些企業決策者擔心云平臺因為提供商的某種原因（管理原因、安全漏洞等）致使云平臺出現故障，進而影響到用戶業務系統的連續性。例如，亞馬遜AWS、微軟的Azure、蘋果iCloud、阿里云等云服務提供商都在2016—2017年間出現過宕機事件，對于云上業務系統連續性造成一定程度負面影響。三是關于監管合規的問題，一些特定行業的企業擔心采用云服務的相關監管政策不明朗，對于企業上云業務的合規性存在顧慮。

（2）重構傳統業務系統的難度較大。傳統單體架構通常包含較多的模塊，模塊之間耦合度較高、依賴關系錯綜復雜，變更功能或修改缺陷時往往需要重新部署整個應用。單體架構的可擴展性較差，只能采取垂直擴展模式（增加服務器的配置）提升系統的處理能力，難以針對特定業務模塊特點進行伸縮，例如I/O密集型、計算密集型服務等。

多數企業的應用系統都是歷經多年積累構建，業務軟件和數據通常以傳統架構（ORM和MVC）來進行設計，向云端遷移勢必導致企業業務架構的大幅度改變，需要對自身業務系統進行重新梳理，并協調其中的利益關系。企業的單體架構向微服務架構的重構過程耗時耗力且技術難度系數也較大，企業原有IT開發和管理人員可能難以勝任，并且也難以理解與適應云端業務模式。

（3）可能面臨云服務系統性風險。企業上云（特別是公有云和混合云），越來越多的敏感性信息存儲在云服務提供商的數據中心之中，一些安全疏漏將可能引發范圍廣、系統性的安全威脅。2017年12月，云計算安全聯盟（CSA）發布《云計算的12大威脅：行業見解報告》，該報告認為云計算在數據泄露、身份憑證和訪問管理不善、不安全的應用程序編程接口、系統漏洞、賬戶劫持、懷有惡意的內部人士、高級持續性威脅、數據丟失、盡職調查不足、濫用和惡意使用云服務、拒絕服務、共享的技術漏洞等方面存在安全威脅。近期一些云服務商出現了系列宕機和數據安全事件。例如，2017年初亞馬遜AWS的一位工程師試圖調試亞馬遜的弗吉尼亞數據中心S3存儲系統，輸入了一個錯誤指令后，導致Slack、Quora和Trello等眾多互聯網企業平臺宕機4個小時。2017年2月，Cloudflare被曝出由于編程錯誤致使其系統會將服務器內存里的部分內容緩存至網頁，惡意用戶可以通過該漏洞隨機獲取來自其他人的會話中的敏感信息，該事件涉及Uber、1password等眾多購買其服務的互聯網公司業務。

企業上云的對策建議

（1）普及云安全知識。世界上沒有100%安全的系統，安全攻防戰一直都存在。應找準安全參考系，企業上云的安全性應與企業自建系統進行比較，主要有以下方面：一是企業自建系統看似能夠自我掌控風險，但企業自己的安全團隊的專業性可能遠不及云服務商，存在很多安全隱患，甚至可能還不自知（一些數據可能在企業毫不知情的情況下被竊取）；二是企業自建數據中心通常集中在某區域，難以做到跨大區域的異地備份，在容災方面有欠缺，一旦發生重大災害，將有重大風險隱患。目前針對云特有的安全問題，云安全責任共擔模式已在業界達成共識，亞馬遜AWS、微軟Azure、阿里云等企業均采用了與用戶共擔風險的安全策略。云服務提供商負責組建專門團隊保護其服務的底層基礎設施不受威脅、漏洞、濫用和欺詐的侵害，并為客戶提供主要安全功能。例如，數據加密、身份與訪問管理、多因子身份驗證等。用戶負責安全功能的恰當配置，安裝更新和確保雇員不把敏感數據泄露給未授權方等。

（2）采用更靈活、可擴展性強的微服務架構。企業的傳統架構不能夠充分利用上云在彈性擴展方面的優勢。微服務架構可以被定義為細粒度的SOA（面向服務的架構），該種架構的最主要特征是小的服務開發成單一應用的形式，每個應用都運行在單一的進程中，并使用HTTP輕量級接口。微服務通常被封裝成輕量型、可移植、自給自足的容器。這些容器可以使用標準操作來處理，并可以在幾乎任何硬件平臺上一致地運行。企業遷移到微服務架構需要對業務有充分理解并進行重新梳理，將那些松耦合、高內聚的微服務分離出來。采用自動化測試工具、持續集成與自動化部署工具來輔助團隊開發和管理眾多服務。對于那些難以修改的遺留系統，可采用絞殺者模式，在其外層增加新的功能做成微服務方式，從而逐步將舊系統進行替換。

（3）加強企業隱私保護。云服務提供商可以提供安全訪問、防止云中敏感數據泄露等方式來加強企業隱私保護。在安全訪問方面，管理員指定可訪問某個應用程序或資源的身份組，需要經過授權和身份驗證的用戶能訪問在云上運行的某個程序或資源，例如，谷歌云的身份感知代理（IAP）、阿里云的RAM賬號安全管理和訪問控制。數據泄露防護方面，例如，谷歌云采用數據泄露防護DLP API讓IT團隊識別和修改可能在谷歌云平臺上運行的應用程序中的任何敏感信息，DLP技術執行深層內容分析，從而根據敏感數據類型（如賬號及其他聯系信息）列表查找匹配項，管理員可決定適用于每種數據類型的保護級別及方式。

總之，企業上云是企業數字化轉型的重要路徑，切實從企業角度思考打消決策者對于上云的安全顧慮、幫助企業梳理業務系統重構問題，以及降低可能面臨的云服務系統性風險，才能讓“天塹變通途”，跨越企業上云的重重難關。